勒索软件攻击后如何向黑客支付报酬

网络犯罪分子窃取重要数据并索要赎金可能是公司最可怕的噩梦。

勒索软件（一种恶意软件，会劫持敏感数据，直到受害者向攻击者付款）的情况越来越常见。谷歌子公司安全公司 Mandiant 表示，它发现 2022 年至 2023 年数据泄露网站上的帖子数量增加了 75%。

有些公司选择向网络犯罪分子支付赔偿金，而有些则不会。据报道，米高梅和波音拒绝支付黑客在数据泄露后索要的数百万美元。软件公司 CDK Global 在遭到攻击时可能支付了 2500 万美元，而赌场运营商 Caesars 据称支付了 1500 万美元。

GuidePoint Security 是一家帮助组织协商勒索软件的公司，该公司负责数字取证和事件响应及威胁情报的副总裁马克·兰斯 (Mark Lance) 表示：“我们通常的立场是，如果你不需要支付赎金，你就不应该支付赎金。我们不建议资助犯罪组织，也不建议在没有必要的情况下支付赎金。”

但他说，公司可能会出于各种原因决定支付赎金。“我们会教育受害者客户，如果他们受到勒索软件的影响，会发生什么，以及如果他们支付赎金与不支付赎金，可能会得到哪些好处，”他说。

虽然许多勒索软件攻击是可以预防的，但它们每天都会发生在各种规模的公司身上。以下是勒索软件谈判人员希望您了解是否要向黑客支付费用的信息。

为什么有些公司决定支付

提供赎金谈判服务的 GroupSense 首席执行官库尔蒂斯·明德 (Kurtis Minder) 表示，公司必须考虑“与攻击相关的爆炸半径”。

“这会导致运营中断，”他说，“但除此之外，他们还需要考虑品牌影响、公关影响和客户信心问题等”，包括敏感数据的发布。

IBM 估计，2024 年数据泄露的平均成本将达到 490 万美元，比去年增加 10%。

Minder 表示，如果不支付赎金，一些公司将面临破产。当他们的系统崩溃并且没有备份时，他们通常无法继续业务运营。

兰斯举了一个例子，他所在的公司与一家医院合作，该医院发现，支付赎金来取回重要文件的费用约为访问文件备份费用的七分之一。

他说，当网络犯罪分子窃取敏感或专有信息（例如个人身份信息）并威胁公布时，组织也可能会付出代价。

兰斯表示，是否支付赎金最终取决于各个公司的决定。

FBI 警告不要向攻击者支付赎金，因为没有人能保证你能取回你的数据。该机构还认为，支付赎金会激励黑客瞄准更多受害者。

明德和兰斯表示，许多网络犯罪组织都非常老练，而且要维护自己的声誉，因此他们通常会说到做到，在收到付款后提供解密被盗信息的指示。

“向威胁者支付费用总是有风险的，因为你面对的是那些从你的环境中窃取信息并劫持你的数据的人，”兰斯说。“他们有动机确保你能够重新访问你的系统并能够恢复。”

不过，明德说，你无法确切知道。但如果你不付钱，你的数据很可能保持加密状态，敏感信息可能会被泄露，你可能会再次面临被攻击的风险。

明德补充说，虽然鼓励公司向执法部门报告勒索软件攻击，但并非所有公司都这样做。

没有联邦法律禁止向网络罪犯支付报酬。但政府禁止与某些被指定为外国恐怖组织的实体进行金融交易，包括赎金。包括佛罗里达州和北卡罗来纳州在内的一些州有法律禁止政府实体向网络攻击者支付报酬。

美国证券交易委员会要求上市公司披露“重大”网络安全事件的详细信息，这意味着可能会影响其运营、声誉或财务。

兰斯表示，如果遇到勒索软件，“在没有任何经验的情况下，不要试图独自应对”。

他补充说，聘请谈判人员或与同一行业中经历过攻击的其他人交谈可以帮助公司避免陷阱，其中包括没有应对计划、等待响应的时间过长以及无法与网络犯罪分子进行有效沟通。

谈判人员有与数十个网络犯罪集团互动的经验；兰斯表示，了解这些组织的背景和历史在谈判中很有用。

Minder 表示，与谈判人员合作可以帮助公司评估风险并决定是否支付。谈判人员还可以帮助指导支付的后勤工作，让公司的系统恢复运行，并可以与执法部门和保险公司合作。

兰斯表示，谈判过程涉及设定公司决定支付赎金时的期望值——其中包括确保公司能够解密被盗文件和数据、要求提供数据已被删除的证明，以及获取网络犯罪分子如何访问公司系统的详细信息。

兰斯表示：“我们希望让人们知道，勒索软件是一种真实存在的威胁”，而且很可能不会消失。但他补充说，“你可以采取一些基本措施来保护自己免受勒索软件的侵害。”